DoS Attack

En esta entrada quiero demostrar cómo detectar e intentar detener un ataque de denegación de servicio (DoS), o por lo menos estar preparados para cuando realicen este tipo de ataques contra la infraestructura que gestionamos. Para ello he utilizado dos productos ampliamente conocidos, como son el SIEM de Alienvault y los cortafuegos de Fortinet.

En una entrada previa comenté la implicación que tiene un ataque de denegación de servicio distribuido (DDoS), donde desde mi punto de vista es un juego de poder entre el atacante y el atacado, es decir, el que tenga más pasta ganará la batalla, ya que consiste en la saturación de recursos. Sin embargo en esta entrada veremos cómo detectar y mitigar pequeños ataques de DoS que podrían degradar la calidad de los servicios que ofrecemos.

La herramienta que he utilizado para realizar el “ataque” ha sido la misma que utiliza Anonymous para reivindicar ciertos comportamientos de nuestros gobernantes. LOIC fue la herramienta utilizada en la operación contra Sony, la Ley Sinde o la Iglesia de la Cienciología.

LOIC

Rápidamente podemos ver cómo el sistema de detección de intrusos (IDS) de Alienvault detecta que alguien está utilizando la herramienta LOIC contra su infraestructura para provocar una denegación de servicio, por lo que desde el SIEM podemos realizar varias acciones como crear políticas de firewalling en el cortafuegos para banear la IP origen, avisar al administrador mediante correo electrónico o SMS o ejecutar un script en la máquina atacada. Todas estas acciones se pueden hacer en modo preventivo antes que el atacante logre su objetivo.

Eventos detectando la herramienta LOIC en el SIEM
 
Por otro lado, también es interesante aplicar políticas UTM IPS y de DoS en el cortafuegos, que nos permitirá bloquear la IP del atacante o banear su IP durante un periodo de tiempo. Para agregar una política de DoS en el cortafuegos será necesario monitorizar el número de conexiones TCP, UDP, ICMP para establecer el umbral a partir del cuál consideramos que se está produciendo el ataque, todo ello dependerá de los servicios ofrecidos. Una de las técnicas utilizadas por los productos Anti-DDoS para detectar IPs legítimas de las no legítimas es descartando el primer paquete SYN de los clientes, de esta manera aquellos clientes que vuelvan a enviar el paquete SYN porque no han recibido el ACK serán clientes legítimos, ya que los atacantes abren tantas sesiones como pueden sin volver a enviar el segundo paquete SYN.

DoS Policy

Tener la infraestructura monitorizada y controlada ante ataques de DoS nos puede evitar más de un disgusto, además nos facilita bastante información cuando la “red va lenta” o vemos picos de sesiones fuera de lo normal.

Un pico de sesiones fuera de lo normal a las 9:00 PM

En definitiva, cada vez es más fácil comprar un ejército de bots para realizar ataques de DDoS y por ello debemos estar preparados. Sin las herramientas y una monitorización adecuada detectaremos el ataque demasiado tarde, una vez que la calidad de los servicios ofrecidos se hayan degradado.

¿Has recibido alguna vez una ataque de DoS? ¿cómo lo mitigaste?

Commentaires